圖片來源: 

臺灣大學

許多學校的期中考剛剛結束,然而卻有學校傳出所有學生的成績遭到竄改。在11月6日時,臺灣大學政治系教授王業立在臉書的一則貼文引發關注,他上傳了一張該校的非同步課程管理系統CEIBA(Collaborative Enhanced Instruction By Asynchronous learning)裡,所有學生成績都變成87分的截圖,認為可能是有學生期中考沒考好,蓄意攻擊這個教學平臺所致。由於正逢中山大學驚傳師生電子郵件被長期監控,使得這起事件形成的原因,格外受到各界重視,懷疑是駭客針對臺灣大專院校發動的第2起攻擊事件。

在網路用語裡,87分代表臺語「白癡」的意思,所以,王業立認為應該是學生的惡作劇行為。然而,這起事件也被不少人質疑,臺灣大學資訊系統的安全防護不足,才會容易被人竄改分數。

而事件爆發不久,臺灣大學也於11月6日的早上9時,於校園公布欄公告,指出CEIBA的資料庫出現異常,正在緊急進行更正作業。到了同日的下午3時48分,他們再度向全校師生發出聲明,表示已經藉由11月5日晚間的備份資料,將108年上學期成績復原,但也指出CEIBA受到影響的成績範圍極為龐大,107學年以前的資料有待後續處理。不過,校方11月6日的前後2次公告,對於該系統上成績出現異常的原因,卻是隻字不提,外界不禁質疑,臺灣大學面臨嚴重的網路攻擊。

校方證實並非攻擊事件

隨著此事的不斷受到外界轉傳,也有許多臺大的學生,甚至是已經畢業的校友,登入CEIBA系統查看,發現他們的成績全部都變成了87分,而在網路上受到廣泛的討論。有人認為,這套系統已經多年沒有改版,被駭客發現漏洞攻擊,是遲早會發生的事情,也有鄉民覺得學校可能沒有建立足夠的防禦機制。雖然臺大在11月8日時,再度於這套課程管理系統發出第3次公告,表示CEIBA是教學輔助平臺,與教務處的成績系統無關,強調所有學生的正式成績沒有受到影響,但是這次公告還是沒有揭露,除資料復原狀態以外,整起事件的處理情形,或是事件調查的進度為何。

直到當天早上媒體採訪,臺灣大學資訊組組長張良鵬才坦言,他們根本沒有受到網路攻擊,事件發生的原因,僅是該校一名資工系學生於11月6日凌晨,在研究CEIBA平臺漏洞的時候,本來只是打算修改其中一筆資料,卻不慎更動到全部的成績。這個學生發現闖下大禍之後,隨即透過電子郵件通知校方,表示對於失誤感到非常抱歉。臺大上午在接獲通知後,修補資工系學生提報的漏洞,同時也開始試圖還原CEIBA系統上的成績,截至11月8日,他們已經復原自104學年以後的資料。

至於這名學生是否會遭到懲處?張良鵬表示,他們正在進行約談,還沒有決定。

事實上,在並未告知系統所有者的情況下,資安人員宣稱找尋漏洞而攻擊資訊系統,有可能讓自己吃上官司。例如,去年底天才駭客張啟元便因竄改高鐵訂票App,先是以40元低價購得車票,後來退票時又將金額改成20萬元,而被臺灣高鐵察覺有異提告,檢方調查後依違法製作財產權紀錄取得財物未遂等罪名,將張啟元起訴。


Advertisement

更多 iThome相關內容